Il delicato bilanciamento tra diritto alla privacy e diritto alla salute nell’attuale contesto emergenziale

L’articolo, attraverso una disamina della normativa in materia di protezione dei dati personali e dei provvedimenti di urgenza emanati per contenere l’emergenza in atto, si propone di riflettere sul bilanciamento dei diritti in gioco e sulla consapevolezza che la prevalenza di un diritto rispetto all’altro non comporta una totale e irragionevole compressione del diritto ritenuto cedevole.

La recente e repentina
diffusione in Italia del Coronavirus ha portato il Governo ad emanare
molteplici provvedimenti emergenziali, da cui sono scaturiti nuovi obblighi e
limitazioni, nell’ambito di una situazione temporanea e derogatoria rispetto
alla disciplina ordinaria.

Tali scelte di natura
emergenziale sono state condotte secondo logiche di bilanciamento tra i vari
diritti in gioco e riflessioni sulla prevalenza o cedevolezza di determinate
normative rispetto ad altre.

Le libertà e i diritti in
gioco (libertà di circolazione, di associazione, d’impresa, diritti dei
lavoratori, diritto alla protezione dei dati personali), infatti, sono cedevoli
rispetto alla tutela della salute, dichiarata all’art. 32 della Costituzione
come fondamentale diritto dell'individuo e interesse della collettività. Nel presente
articolo ci focalizzeremo in particolare sul bilanciamento tra privacy e
diritto alla salute.

È ben noto che il diritto
alla salute deve essere garantito anche nell’ambiente di lavoro. Non a caso,
l’esigenza di contemperare la protezione dei dati personali con la tutela della
salute ha generato divergenze e difficoltà interpretative e applicative soprattutto
negli ambienti di lavoro, con particolare riguardo alla gestione dei rapporti
con dipendenti, fornitori, utenti o visitatori da parte di aziende o enti. Tale
situazione di incertezza ha richiesto, in data 2 marzo 2020, un intervento
chiarificatore del Garante per la protezione dei dati personali: i datori di
lavoro devono “astenersi dal raccogliere,
a priori e in modo sistematico e generalizzato, anche attraverso specifiche
richieste al singolo lavoratore o indagini non consentite, informazioni sulla
presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti
più stretti o comunque rientranti nella sfera extra lavorativa”, in quanto
tali finalità devo essere perseguite e realizzate dai soli soggetti a ciò
istituzionalmente e qualificatamente incaricati nell’ambito del settore
sanitario e della protezione civile. Il successivo Protocollo condiviso di
regolamentazione del 14 marzo 2020 sembra aver allargato l’ambito d’azione,
tuttavia, come vedremo di seguito, sarà opportuno leggerlo ed applicarlo in
maniera combinata e integrata con le indicazioni del Garante del 2 marzo e con
i principi generali in materia di protezione dei dati personali, specie la
minimizzazione (riferita sia alla quantità e tipologia dei dati raccolti che
alla loro conservazione) e il principio di necessità e adeguatezza alle
finalità perseguite.

Lo stato di confusione,
anche al di fuori dei confini nazionali, ha richiesto altresì l’intervento del
Comitato europeo (EDPB) che ha emesso in data 16 marzo una propria
dichiarazione al riguardo ed una successiva guida. L’EDPB ha ribadito che le norme
sulla protezione dei dati personali non ostacolano le misure implementate nella
lotta alla diffusione della pandemia e che la base giuridica che permette ad
aziende e autorità di raccogliere dati personali necessari e pertinenti non è
il consenso dell’interessato, bensì i motivi di interesse pubblico nel settore
della sanità pubblica, la tutela di un interesse vitale (artt. 6 e 9 del GDPR)
o l’osservanza di un obbligo di legge.

Il datore di lavoro è
tenuto all’osservanza delle previsioni di cui al DL 81/08 e all’art. 2087 c.c.,
adottando nell'esercizio dell'impresa le misure necessarie a tutelare
l'integrità fisica e la personalità morale dei lavoratori. Pertanto
un’interpretazione estensiva dell’art. 2087 consentirebbe al datore di lavoro
di adottare misure volte a presidiare l’attuale rischio per il diritto alla
salute, prevalente sul diritto alla protezione dei dati personali: muovendo da
questo assunto, anche la rilevazione della temperatura, effettuata con
particolari precauzione e modalità di riserbo che analizzeremo a breve,
potrebbe essere una misura adeguata ai sensi dell’art. 2087.

Operare un bilanciamento
richiede, tuttavia, l’adozione di comportamenti e adempimenti che assicurino, per
quanto possibile, anche l’aderenza alle previsioni normative risultate cedevoli.
Per questo i titolari del trattamento saranno chiamati ad adeguare la propria
documentazione privacy, le misure di sicurezza adottate, nonché gli ulteriori
adempimenti richiesti dalla normativa. Sarà necessario valutare la resa di
informative ad hoc o integrare quelle già esistenti; attenzionare in particolar
modo la retention dei dati raccolti nel contesto emergenziale; qualora il
trattamento dati in siffatto contesto comporti l’esecuzione di nuove operazioni
occorrerà aggiornare il registro dei trattamenti ed eventualmente effettuare
valutazioni di impatto; andranno implementate misure di sicurezza adeguate ai
trattamenti effettuati; potrà essere necessario implementare le infrastrutture
IT (soprattutto nei casi in cui il ricorso allo smart working ne abbia causato
un affaticamento) e rivedere i contratti con i fornitori  (responsabili esterni), ricordando in tutti i casi
precedentemente elencati di coinvolgere, ove necessario, il DPO.

Tornando alla rilevazione
della temperatura corporea in tempo reale sarà necessario che il dato acquisito
non venga aggregato ad altri o utilizzato per effettuare operazioni di
mappatura, ma sia per l’esclusiva finalità di valutazione dell’ammissione o non
ammissione nell’ambiente di lavoro, tenendo conto che il dato andrà registrato
solo in caso di temperatura superiore ai 37,5°C, diversamente dovrà essere immediatamente
distrutto. I dati dovranno essere trattati per le sole finalità necessarie alla
prevenzione e al contenimento dell’emergenza in corso, comunicati ai soli
enti/autorità istituzionalmente preposti alla gestione dell’emergenza sanitaria
in atto e conservati fino alla cessazione dello stato di emergenza (in tema di
data retention si segnala che l’ordinanza del Ministero della Salute del 21
febbraio 2020 raccomanda di distruggere la documentazione e le informazioni
acquisite nella gestione dell’emergenza trascorsi sessanta giorni dalla
raccolta, ove non pertinenti a casi sospetti).  La rilevazione della temperatura può essere
effettuata anche da personale interno dell’azienda, purché specificamente
autorizzato e soggetto ad istruzioni impartite ai sensi dell’art. 29 del GDPR.
All’interessato dovrà essere resa l’informativa privacy, indicando come base
giuridica la necessità di ottemperare al DPCM 11/3/2020 e ai protocolli
anti-contagio, nonché tutte le ulteriori specifiche informazioni circa finalità
e modalità del trattamento. Tale informativa può essere resa nella modalità di
integrazione/supplemento della complessiva informativa privacy relativa al
trattamento dei dati nell’ambito dei rapporti di lavoro e collaborazione.

Per quanto concerne
l’accesso ai luoghi di lavoro il Protocollo prevede le modalità di accesso in
azienda sia per i lavoratori sia per fornitori. I luoghi di lavoro
rappresentano spazi privati con riferimento ai quali il datore di lavoro può a
disporre le misure ritenute più idonee a garantire la sicurezza e la salute dei
dipendenti e dei soggetti tutti che vi transitano. L’attuale situazione di
emergenza necessita di una pronta e adeguata gestione delle persone che
accedono ai locali aziendali, il tutto inserito nell’ambito delle procedure di
controllo degli accessi già in vigore in azienda.

In caso di richiesta di
attestazione circa la provenienza da zone a rischio epidemiologico e l’assenza
di contatti con soggetti positivi, negli ultimi 14 giorni, è bene astenersi dal
richiedere informazioni aggiuntive sulla persona risultata positiva ed in
merito alle specificità dei luoghi di permanenza.

Sarebbe opportuno che la
raccolta di queste informazioni sia sollecitata ai lavoratori nella forma di
autodichiarazione di non essere un pericolo per la salute e la sicurezza del
luogo di lavoro (complementare all’obbligo, in capo ai lavoratori di cui all’art.
20 lett.e) del DL 81/08). Anche in questo caso sarà poi necessario osservare
particolari accorgimenti per la tutela dei dati personali: la raccolta deve
avvenire attraverso canali dedicati e ad opera di personale autorizzato; tali informazioni
avente carattere eccezionale non possono essere aggregate ai database già
presenti in azienda e deputati all’ordinaria gestione del rapporto di lavoro,
ma devono essere conservate in un apposito repository che, una volta superata
l’emergenza, dovrà essere limitato nell’uso e impiegato solo nell’eventuale
esigenza di rendicontare e comprovare le azioni poste in essere nella gestione
della crisi.

Con riferimento, invece,
alla collaborazione con le Autorità e all’interscambio di informazioni, l'art.
14 del DL 9 marzo 2020, n. 14 legittima ed estende gli ambiti di trattamento di
dati personali (compresa la comunicazione) anche sanitari e giudiziari, da
parte dei soggetti tassativamente elencati nel comma 1 (in primis Protezione
strutture sanitarie). Al comma 2, tuttavia, è previsto che tale comunicazione
dei dati personali a soggetti pubblici e privati diversi di quelli di cui al
comma 1, può essere effettuata se indispensabile ai fini dello svolgimento
delle attività connesse alla gestione dell’emergenza in atto (ad es. per la
ricostruzione della mappa di un possibile contagio). Le previsioni di cui al su
menzionato decreto rappresentano la base giuridica su cui fondare la
comunicazione di dati personali strettamente necessarie alla gestione
dell’emergenza COVID-19. Tuttavia l’ipotesi di una comunicazione alle
istituzioni di dati del dipendente da parte del proprio datore di lavoro va
considerata come residuale, nel caso in cui l’interessato sia impossibilitato a
fornirle direttamente e sussistano le condizioni di necessità e pertinenza. Discorso
nettamente diverso nel caso di condivisione e scambio dei dati personali dei
dipendenti con i partner commerciali: le aziende dovranno individuare
scrupolosamente la base giuridica a fondamento di questa comunicazione, in
assenza della quale, la condivisione di informazioni risulterebbe illegittima.

Resta fermo ad ogni modo
il rispetto dei principi generali in materia di trattamento dei dati personali
di cui all’art. 5 del GDPR, in particolare la minimizzazione e limitazione
della conservazione. Tant’è vero che al termine dello stato di emergenza, il
decreto prescrive che dovranno essere adottate misure idonee a ricondurre i
trattamenti effettuati nel contesto dell’emergenza all’ambito delle ordinarie
competenze e regole che disciplinano il trattamento dei dati personali.

Giova ricordare, infatti,
che alla fine di questo periodo emergenziale – che ci auguriamo sia il più
vicino possibile – le imprese e gli enti potrebbero essere chiamati a
dimostrare, anche su base documentale, che le decisioni prese e i trattamenti
effettuati siano conformi ai principi di cui all’art. 5, compresa
l’accountability.

Quadro
normativo di riferimento

• Regolamento UE 679/2016 (GDPR), normativa
  italiana di adeguamento in materia di protezione dei dati personali e provvedimenti
  dell’Autorità applicabili.
• Comunicato stampa del Garante Privacy
  "Coronavirus: no a iniziative "fai da te" nella raccolta dei
  dati" del 2 marzo 2020
• Statement of the EDPB Chair on the
  processing of personal data in the context of the COVID-19 outbreak
• Statuto dei Lavoratori, Legge 300/70 e
  s.m.i. e D.L. 81/08
• Ordinanza del Ministero della Salute del
  21 febbraio 2020
• Decretazione di urgenza in materia di
  gestione dell'emergenza epidemiologica da COVID-19 (in particolare il D.L.  9 marzo 2020, n.14)
• Protocollo condiviso di regolamentazione
  del 14 marzo 2020

di Rosanna Celella